Question

Я недавно обновился до Chrome 80 и включил новую политику SameSite для файлов cookie в chrome://flags. При локальном развитии мой серверный фреймворк настроен на испускание файлов cookie аутентификации с атрибутом SameSite=None. В настоящее время у меня не включен SSL.

Теперь мне интересно, почему Chrome позволяет это делать, так как, если я правильно понял политику, все SameSite=None куки должны быть безопасно, независимо от среды?

rowan_m · Answer 1 · 07 февраля 2020

Да, вы сможете установить SameSite=None только с Secure. Итак, я думаю, что если у вас нет SSL в вашей среде разработки, вы не должны устанавливать ни один из этих атрибутов.

Новое поведение исходит из обоих:

chrome://flags/#same-site-by-default-cookies
и chrome://flags/#cookies-without-same-site-must-be-secure

Вы можете проверить, поддерживает ли ваш браузер полное поведение на https://samesite-sandbox.glitch.me

Chrome 80 разрешает небезопасный SameSite = Нет куки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Chrome 80 разрешает небезопасный SameSite = Нет куки

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы